Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Abilitazione della registrazione di controllo
Puoi utilizzare i log di controllo per acquisire informazioni dettagliate sull'utilizzo della tua WorkMail organizzazione Amazon. I log di controllo possono essere utilizzati per monitorare l'accesso degli utenti alle caselle di posta, verificare la presenza di attività sospette ed eseguire il debug del controllo degli accessi e delle configurazioni dei provider di disponibilità.
Nota
La politica AmazonWorkMailFullAccessgestita non include tutte le autorizzazioni necessarie per gestire le consegne dei log. Se utilizzi questa politica per la gestione WorkMail, assicurati che il principale (ad esempio, il ruolo assunto) utilizzato per configurare le consegne dei log disponga anche di tutte le autorizzazioni richieste.
Amazon WorkMail supporta tre destinazioni di consegna per i log di controllo: CloudWatch Logs, Amazon S3 e Amazon Data Firehose. Per ulteriori informazioni, consulta la sezione Registrazione che richiede autorizzazioni aggiuntive [V2] nella Amazon CloudWatch Logs User Guide.
Oltre alle autorizzazioni elencate in Registrazione che richiede autorizzazioni aggiuntive [V2], Amazon WorkMail richiede un'autorizzazione aggiuntiva per configurare la consegna dei log:. workmail:AllowVendedLogDeliveryForResource
Una consegna di log funzionante è composta da tre elementi:
-
DeliverySource, un oggetto logico che rappresenta la risorsa o le risorse che inviano i log. Per Amazon WorkMail, è l' WorkMailorganizzazione Amazon.
-
A DeliveryDestination, che è un oggetto logico che rappresenta l'effettiva destinazione di consegna.
-
Una consegna, che collega una fonte di consegna alla destinazione di consegna.
Per configurare la consegna dei log tra Amazon WorkMail e una destinazione, puoi fare quanto segue:
-
Crea una fonte di consegna con PutDeliverySource.
-
Crea una destinazione di consegna con PutDeliveryDestination.
-
Se stai distribuendo i log su più account, devi utilizzarli PutDeliveryDestinationPolicynell'account di destinazione per assegnare una policy IAM alla destinazione. Questa policy autorizza la creazione di una consegna dalla fonte di consegna nell'account A alla destinazione di consegna nell'account B.
-
Crea una consegna associando esattamente una fonte di consegna e una destinazione di consegna utilizzando. CreateDelivery
Le sezioni seguenti forniscono i dettagli delle autorizzazioni di cui devi disporre quando effettui l'accesso per configurare la consegna dei log a ciascun tipo di destinazione. Queste autorizzazioni possono essere concesse a un ruolo IAM con cui hai effettuato l'accesso.
Importante
È tua responsabilità rimuovere le risorse di consegna dei log dopo aver eliminato la risorsa che genera i log.
Per rimuovere le risorse di consegna dei log dopo aver eliminato la risorsa che genera i log, segui questi passaggi.
-
Eliminare la consegna utilizzando l'operazione. DeleteDelivery
-
Eliminare il DeliverySourceutilizzando l'DeleteDeliverySourceoperazione.
-
Se l'DeliveryDestinationelemento associato a DeliverySourcequello che hai appena eliminato viene utilizzato solo per questo specifico DeliverySource, puoi rimuoverlo utilizzando l'DeleteDeliveryDestinationsoperazione.
Configurazione della registrazione di controllo tramite la console Amazon WorkMail
Puoi configurare la registrazione di controllo nella WorkMail console Amazon:
-
Apri la WorkMail console Amazon all'indirizzo https://console.aws.amazon.com/workmail/
. Se necessario, cambia la AWS regione. Nella barra nella parte superiore della finestra della console, apri l'elenco Seleziona una regione e seleziona una regione. Per ulteriori informazioni, consulta la sezione relativa a regioni ed endpoint nella Riferimenti generali di Amazon Web Services.
-
Nel riquadro di navigazione, scegli Organizations, quindi scegli il nome della tua organizzazione.
Scegli Impostazioni di registrazione.
Scegli la scheda Impostazioni del registro di controllo.
Configura le consegne per il tipo di registro richiesto utilizzando il widget appropriato.
-
Selezionare Salva.
Registri inviati a Logs CloudWatch
Autorizzazioni degli utenti
Per abilitare l'invio dei log ai CloudWatch registri, è necessario accedere con le seguenti autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyCWL", "Effect": "Allow", "Action": [ "logs:PutResourcePolicy", "logs:DescribeResourcePolicies", "logs:DescribeLogGroups" ], "Resource": [ "arn:aws:logs:region:account-id:*" ] } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
Policy delle risorse del gruppo di log
Il gruppo di log in cui vengono inviati i log deve disporre di una policy delle risorse che includa determinate autorizzazioni. Se al momento il gruppo di log non dispone di una politica in materia di risorse e l'utente che configura la logs:PutResourcePolicy registrazione dispone logs:DescribeLogGroups delle autorizzazioni relative al gruppo di log, crea AWS automaticamente la seguente politica quando si inizia a inviare i log a Logs. logs:DescribeResourcePolicies CloudWatch
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AWSLogDeliveryWrite20150319", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "logs:CreateLogStream", "logs:PutLogEvents" ], "Resource":[ "arn:aws:logs:region:account-id:log-group:my-log-group:log-stream:*" ], "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:*" ] } } } ] }
Considerazioni relative al limite delle dimensioni delle policy delle risorse del gruppo di log
Questi servizi devono elencare ogni gruppo di log a cui inviano i log nella politica delle risorse. CloudWatch Le politiche relative alle risorse dei log sono limitate a 5.120 caratteri. Un servizio che invia log a un gran numero di gruppi di log potrebbe raggiungere questo limite.
Per mitigare questo problema, CloudWatch Logs monitora la dimensione delle politiche relative alle risorse utilizzate dal servizio che invia i log. Quando rileva che una policy si avvicina al limite di dimensione di 5.120 caratteri, CloudWatch Logs /aws/vendedlogs/* abilita automaticamente la politica delle risorse per quel servizio. Quindi puoi iniziare a utilizzare gruppi di log con nomi che iniziano con /aws/vendedlogs/ come destinazioni per i log di questi servizi.
Log inviati ad Amazon S3
Autorizzazioni degli utenti
Per abilitare l'invio di log ad Amazon S3, devi aver effettuato l'accesso con le seguenti autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyS3", "Effect": "Allow", "Action": [ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource": "arn:aws:s3:::bucket-name" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
Il bucket S3 in cui vengono inviati i log deve disporre di una policy delle risorse che include determinate autorizzazioni. Se il bucket attualmente non dispone di una politica delle risorse e l'utente che configura la registrazione dispone delle autorizzazioni S3:GetBucketPolicy e S3:PutBucketPolicy delle autorizzazioni per il bucket, crea AWS
automaticamente la seguente politica quando inizi a inviare i log ad Amazon S3.
{ "Version":"2012-10-17", "Id":"AWSLogDeliveryWrite20150319", "Statement":[ { "Sid":"AWSLogDeliveryAclCheck", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:GetBucketAcl", "Resource":"arn:aws:s3:::my-bucket", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }, { "Sid":"AWSLogDeliveryWrite", "Effect":"Allow", "Principal":{ "Service":"delivery.logs.amazonaws.com" }, "Action":"s3:PutObject", "Resource":"arn:aws:s3:::my-bucket/AWSLogs/account-id/*", "Condition":{ "StringEquals":{ "s3:x-amz-acl":"bucket-owner-full-control", "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } } ] }
Nella politica precedente, peraws:SourceAccount, specifica l'elenco degli ID degli account per i quali i log vengono consegnati a questo bucket. Per aws:SourceArn, specifica l'elenco di ARN della risorsa che genera i log, nel formato arn:aws:logs:. source-region:source-account-id:*
Se il bucket ha una politica sulle risorse, ma tale politica non contiene l'istruzione mostrata nella politica precedente e l'utente che configura la registrazione dispone delle S3:PutBucketPolicy autorizzazioni S3:GetBucketPolicy e per il bucket, tale istruzione viene aggiunta alla politica delle risorse del bucket.
Nota
In alcuni casi, potresti riscontrare AccessDenied degli errori AWS CloudTrail se l's3:ListBucketautorizzazione non è stata concessa a. delivery.logs.amazonaws.com Per evitare questi errori nei CloudTrail registri, devi concedere l's3:ListBucketautorizzazione adelivery.logs.amazonaws.com. È inoltre necessario includere i Condition parametri mostrati con l's3:GetBucketAclautorizzazione impostata nella precedente policy del bucket. Per semplificare questa operazione, invece di crearne uno nuovoStatement, puoi aggiornare direttamente il AWSLogDeliveryAclCheck tobe. “Action”:
[“s3:GetBucketAcl”, “s3:ListBucket”]
Crittografia lato server di bucket Amazon S3
Puoi proteggere i dati nel tuo bucket Amazon S3 abilitando la crittografia lato server con chiavi gestite da Amazon S3 (SSE-S3) o la crittografia lato server con una chiave archiviata in (SSE-KMS). AWS KMS AWS Key Management Service Per ulteriori informazioni, consulta Protezione dei dati con la crittografia lato server.
Se si sceglie SSE-S3, non è richiesta alcuna configurazione aggiuntiva. Amazon S3 gestisce la chiave di crittografia.
avvertimento
Se scegli SSE-KMS, devi utilizzare una chiave gestita dal cliente, poiché l'utilizzo di una non è supportato in questo scenario. Chiave gestita da AWS Se si configura la crittografia utilizzando una chiave AWS gestita, i log verranno consegnati in un formato illeggibile.
Quando utilizzi una AWS KMS chiave gestita dal cliente, puoi specificare l'Amazon Resource Name (ARN) della chiave gestita dal cliente quando abiliti la crittografia dei bucket. Aggiungi quanto segue alla politica chiave per la tua chiave gestita dal cliente (non alla politica del bucket per il tuo bucket S3), in modo che l'account di consegna dei log possa scrivere sul tuo bucket S3.
Se scegli SSE-KMS, devi utilizzare una chiave gestita dal cliente, poiché l'utilizzo di una chiave gestita non è supportato in questo scenario AWS . Quando utilizzi una AWS KMS chiave gestita dal cliente, puoi specificare l'Amazon Resource Name (ARN) della chiave gestita dal cliente quando abiliti la crittografia dei bucket. Aggiungi quanto segue alla politica chiave per la tua chiave gestita dal cliente (non alla politica del bucket per il tuo bucket S3), in modo che l'account di consegna dei log possa scrivere sul tuo bucket S3.
{ "Sid":"Allow Logs Delivery to use the key", "Effect":"Allow", "Principal":{ "Service":[ "delivery.logs.amazonaws.com" ] }, "Action":[ "kms:Encrypt", "kms:Decrypt", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:DescribeKey" ], "Resource":"*", "Condition":{ "StringEquals":{ "aws:SourceAccount":[ "account-id" ] }, "ArnLike":{ "aws:SourceArn":[ "arn:aws:logs:region:account-id:delivery-source:*" ] } } }
Peraws:SourceAccount, specifica l'elenco degli ID degli account per i quali i log vengono consegnati a questo bucket. Per aws:SourceArn, specifica l'elenco di ARN della risorsa che genera i registri, nel formato arn:aws:logs:. source-region:source-account-id:*
Log inviati a Firehose
Autorizzazioni degli utenti
Per abilitare l'invio di log a Firehose, è necessario accedere con le seguenti autorizzazioni.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ReadWriteAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:GetDelivery", "logs:GetDeliverySource", "logs:PutDeliveryDestination", "logs:GetDeliveryDestinationPolicy", "logs:DeleteDeliverySource", "logs:PutDeliveryDestinationPolicy", "logs:CreateDelivery", "logs:GetDeliveryDestination", "logs:PutDeliverySource", "logs:DeleteDeliveryDestination", "logs:DeleteDeliveryDestinationPolicy", "logs:DeleteDelivery" ], "Resource": [ "arn:aws:logs:region:account-id:delivery:*", "arn:aws:logs:region:account-id:delivery-source:*", "arn:aws:logs:region:account-id:delivery-destination:*" ] }, { "Sid": "ListAccessForLogDeliveryActions", "Effect": "Allow", "Action": [ "logs:DescribeDeliveryDestinations", "logs:DescribeDeliverySources", "logs:DescribeDeliveries", "logs:DescribeLogGroups" ], "Resource": "*" }, { "Sid": "AllowUpdatesToResourcePolicyFH", "Effect": "Allow", "Action": [ "firehose:TagDeliveryStream" ], "Resource": [ "arn:aws:firehose:region:account-id:deliverystream/*" ] }, { "Sid": "CreateServiceLinkedRole", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::account-id:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery" } { "Sid":"AllowLogDeliveryForWorkMail", "Effect":"Allow", "Action":[ "workmail:AllowVendedLogDeliveryForResource" ], "Resource":[ "arn:aws:workmail:region:account-id:organization/organization-id" ] } ] }
Ruoli IAM utilizzati per le autorizzazioni delle risorse
Poiché Firehose non utilizza policy relative alle risorse, AWS utilizza i ruoli IAM per configurare questi log da inviare a Firehose. AWS crea un ruolo collegato al servizio denominato. AWSServiceRoleForLogDelivery Questo ruolo collegato al servizio include le autorizzazioni seguenti.
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "firehose:PutRecord", "firehose:PutRecordBatch", "firehose:ListTagsForDeliveryStream" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/LogDeliveryEnabled": "true" } }, "Effect": "Allow" } ] }
Questo ruolo collegato al servizio concede l'autorizzazione per tutti i flussi di distribuzione Firehose con il tag impostato su. LogDeliveryEnabled true AWS assegna questo tag al flusso di consegna di destinazione quando si configura la registrazione.
Questo ruolo collegato al servizio dispone inoltre di una policy di attendibilità che autorizzi il principale del servizio delivery.logs.amazonaws.com di assumere il ruolo collegato al servizio necessario. Questa policy di attendibilità è la seguente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Autorizzazioni specifiche per la console
Oltre alle autorizzazioni elencate nelle sezioni precedenti, se stai configurando la consegna dei log utilizzando la console anziché le API, hai bisogno anche delle seguenti autorizzazioni:
{ "Version":"2012-10-17", "Statement":[ { "Sid":"AllowLogDeliveryActions", "Effect":"Allow", "Action":[ "firehose:DescribeDeliveryStream", "s3:ListBucket", "s3:GetBucketLocation" ], "Resource":[ "arn:aws:logs:region:account-id:log-group:*", "arn:aws:firehose:region:account-id:deliverystream/*", "arn:aws:s3:::*" ] }, { "Sid":"ListAccessForDeliveryDestinations", "Effect":"Allow", "Action":[ "logs:DescribeLogGroups", "firehose:ListDeliveryStreams", "s3:ListAllMyBuckets" ], "Resource":"*" } ] }
